周一的一份新闻稿显示,联邦调查局存在一项行动,试图关闭 “Hafnium “组织和其他组织今年年初对微软Exchange服务器的攻击。虽然补丁和缓解措施解决了许多人的问题,但仍有一些服务器暴露在外,攻击者在那里安装了网络外壳,继续他们的远程访问。联邦调查局称,这些外壳对一些管理员来说可能难以识别并自行删除。
联邦调查局特别针对Hafnium的外壳(如法庭文件中所述),因为它在美国的服务器上发现了这些外壳,使用攻击者自己的密码远程进行访问,并执行命令使它们自行删除,挫败了该组织的计划。联邦调查局要求的搜查令允许它执行这一行动,并推迟通知服务器管理员。它在4月9日获得许可,可以在14天内执行该行动,同时授权推迟30天通知。
根据司法部的说法,”这次行动成功地复制和删除了这些网络外壳。然而,它没有修补任何微软Exchange服务器的零日漏洞,也没有搜索或删除任何额外的恶意软件或黑客工具,这些黑客组织可能通过利用网络外壳放置在受害者网络上。”
现在,联邦调查局说它正在向服务器所有者发送电子邮件,并 “试图将法院授权的行动通知给所有所有者或操作者,从这些计算机上删除黑客组织的网络外壳”。虽然我们不知道联邦调查局在私人拥有的服务器受到攻击后采取行动的先例,但《连线》记者Kim Zetter通过向受感染的机器发送命令将其关闭以及通过法院命令指出联邦调查局在2011年处理Coreflood僵尸网络的方式。司法部和微软除了这份声明外,没有公开评论这项行动。
